DSM 6.x und darunter Let's Encrpyt Zertifikat erneuern

Alle DSM Version von DSM 6.x und älter

JuliusCaesar

Benutzer
Mitglied seit
28. Jun 2013
Beiträge
171
Punkte für Reaktionen
4
Punkte
18
Guten Abend,
benötige noch einmal eure Hilfe.
Habe mir ein Lets Encrypt Zertifikat eingerichtet.
Leider hat da sja nur eine sehr kurze Laufzeit, daher wollte ich das mal verlängern

Im Reiter CSR gibt es die Möglichkeit Zertifikate zu erneuern. Nach Befolgen der Anweisung im Assistenten bekomme ich eine Zip Datei mit einem Privaten Schlüssel und einer Zert Anfrage (CSR).

Wie binde ich diese Dateien nun in meine Synology ein? Könnt ihr mir da weiterhelfen?

viele Grüße
Julian
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Vermute eher, dass da was falsch gelaufen ist. Der LE Client sollte das ja direkt erneuern. Ein CSR (Certificate Signing Request) braucht man normal, wenn man z.B. bei StartSSL ein Zertifikat anfordert.
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...da ist nichts falsch gelaufen, wie schon in anderen Threads diskutiert erstellt die Synology server.csr und server.key.
Bitte die Suche anwenden dann hätte man in schon vorhandene threads posten können.
Bis jetzt hat anscheinend niemand das Zertifikat verlängert --> keine Ideen und Tipps.
LG Thomas
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
.Bis jetzt hat anscheinend niemand das Zertifikat verlängert -

Das stimmt so nicht. Nur leider auch schon wieder einige Woche zurückliegend, sodass ich echt keine Ahnung mehr habe, wie ich das erneuert habe.:confused:
 

Outlaw

Benutzer
Mitglied seit
11. Nov 2015
Beiträge
158
Punkte für Reaktionen
0
Punkte
16
Ich habe bei mir das StartSSL Zerti eingerichtet und seit längerem keine Probleme.
Die Zertis sollen auch 1 Jahr laufen und wenn mich mein Englisch nicht täuscht, soll es da jetzt angeblich auch eine Art Autoverlängerung geben, bin mir aber (noch) nicht sicher, da noch nicht genauer damit befasst.
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...diejenigen die das Zertifikat erneuern wollten sind gescheitert wie ich auch. Haben dann alle ein neues Zertifikat angelegt, soll aber nicht Sinn der Sache sein.
LG Thomas
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Portfreigabe wieder einrichten und über Nacht abwarten. Ob das bei gänzlich abgelaufenen Zertifikaten auch hilft kann ich nicht mti Sicherheit sagen, aber kurz vor Ablauf versucht der DSM das Zertifikat selbstständig zu erneuern. Wenn das gelingt muss man sich um nichts kümmern.
Wenn es schon abgelaufen ist sollte es einfacher sein ein neues zu erstellen. Dauert ja nicht gerade lange. Und ab da den Hinweis mit der Portfreigabe beherzigen ...

MfG Matthieu
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...ist ja ok, hat aber alles nichts mit der Option Zertifikat erneuern zu tun, das sollte ja auch schon nach 2 Monaten funktionieren ohne das man Abwarten und Hoffen muß das mein Zertifikat auch tatsächlich automatisch erneuert wird. Gab schon Userr bei denen es trotz Portfreigabe nicht funzte.
Da werden nur wie oben beschrieben zwei so unnütze Dateien (server.csr und server.key) mit dem Hinweis zur Erneuerung des Zertifikats diese an die gewünschte Zertifizierungsstelle zu senden!
Welche Stelle wohin???
LG Thomas
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Nirgendwohin! Ich gehe davon aus dass Synology schlicht vergessen hat dieses Feature für LE zu deaktivieren. Bei anderen Diensten kann man damit eine Verlängerung beantragen. Bei LE geht das nur über den Client und damit über den DSM (weil der als Schnittstelle fungiert). Das ganze ist für LE unsinn und wird hoffentlich mit einem Update deaktiviert.

Certbot, die offizielle Referenzimplementierung des Protokolls, erlaubt nur eine Verlängerung innerhalb der letzten 30 Tage. Ob das auch LE-seitig so forciert wird weiß ich nicht, aber ich würde nicht darauf setzen dass man schon Monate vorher ein Renewal durchführen kann.

MfG Matthieu
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...kann man definitiv,man kann einen Cronjob erstellen, der monatlich ein neues Zertifikat mit Hilfe des „letsencrypt-auto“ Python-Script bezieht.
Da bin ich zu wenig fit so ein Script zu schreiben um es dann im Aufgabenplaner einzurichten: http://letsencrypt.readthedocs.io/en/latest/using.html
LG Thomas
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Bei renewal steht dort aber trotzdem "This will attempt to renew any previously-obtained certificates that expire in less than 30 days".
Beim certbot-auto / letsencrypt-auto steht nicht explizit, dass man damit jederzeit erneuern kann.
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...ist doch auch egal ob 30 Tage oder mehr (mir würde es reichen nach 60 Tagen manuell zu Erneuern), die Option zum Erneuern geht schlichtweg nicht und ist so unnütz. So muß man den Port dauerhaft freigeben und hoffen das Zertifikat erneuert wird.
LG Thomas
 

Outlaw

Benutzer
Mitglied seit
11. Nov 2015
Beiträge
158
Punkte für Reaktionen
0
Punkte
16
...diejenigen die das Zertifikat erneuern wollten sind gescheitert wie ich auch. Haben dann alle ein neues Zertifikat angelegt, soll aber nicht Sinn der Sache sein.
LG Thomas

Das ist ja bei den kostenlosen Zertis auch nicht vorgesehen. Die wollen ja Kohle verdienen mit verlängerbaren Zertis.

Ich habe nirgends gelesen, dass die Class 1 verlängerbar wären, erst ab Class 2 und da geht es schon gut ins Geld für das Hobby ....

Ergo bleibt nur die Neuerstellung.
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...sind aber definitiv erneuerbar mit dem certbot client, nur Synology hat das nicht richtig implementiert.
LG Thomas
 

JuliusCaesar

Benutzer
Mitglied seit
28. Jun 2013
Beiträge
171
Punkte für Reaktionen
4
Punkte
18
hmpf, son Schmarn...
also haben die wohl einfach wieder gepfuscht. Werde dann 1 Monat vor Ablauf den Port 80 mal öffnen und hoffen dass das Zert verlängert wird.
Wenn nicht fliegt das einfach wieder raus. Habe keine Lust alle 3 Monate nen neues Zertifikat zu beantragen :O

aber Danke aufjedenfall für euere vielen Antworten, offenbar bin ich nicht der einzige der diese Funktion vermisst:cool:
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...hab mal ein Ticket gezogen, mal schaun was dabei rauskommt.
LG Thomas
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Das ist ja bei den kostenlosen Zertis auch nicht vorgesehen. Die wollen ja Kohle verdienen mit verlängerbaren Zertis.
Weißt Du, wovon Du da schreibst? Ich denke eher nicht. Du solltest Dich vielleicht einmal zur Let's Encrypt-Initiative informieren ;)

Ich habe nirgends gelesen, dass die Class 1 verlängerbar wären, erst ab Class 2 und da geht es schon gut ins Geld für das Hobby ....
Auch hier habe ich den Eindruck, Dir sind die Hintegründe nicht bekannt.
Ein Class 2-Zertifikat wird ebenso wie ein Class 1-Zertifikat nicht verlängert - jedes SSL-Zertifikat hat definitionsgemäß ein Enddatum und erlischt damit. Man kann lediglich auf Basis des gleichen privaten Keys ein neues, gleich lautendes Zertifikat aussstellen lassen, welches ab dem Antragsmoment wiederum nur bis zum Ablaufszeitpunkt gültig ist.
Ansonsten unterscheiden sich Class 1 und Class 2 nur darin, dass erstere domainvalidierte Zertifikate sind, geprüft bspw. über eine email an den Webmaster.
Class 2 sind eingeschränkte Identitätszertifikate für Personen/Firmen - kommen daher aber meist nur als S/MIME- oder Client-Mitarbeiter-Zertifikate zum Einsatz, weniger als Serverzertifikat (dafür nutzen viele eher Class 3, mit dem dann selbst Class 2-Mitarbeiterzertifikate erzeugt werden).
 
Zuletzt bearbeitet:

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
Rich (BBCode):
syno-letsencrypt renew-all
und der Fisch ist gegessen. Schaut mal in /var/log/messages
Rich (BBCode):
root@DS1513:~# grep letsencryp /var/log/messages
Jun  4 09:20:32 DS1513 builtin-syno-letsencrypt-syno-letsencrypt: autorenew: syno-letsencrypt.cpp:288 Failed to renew /usr/syno/etc/certificate/_archive/XXX/. { "error": 101, "msg": "XXX.XXX.de: Could not connect to http://XXX.XXX.de/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxx", "file": "client.cpp:317"}
am 04.06. hat die DS versucht das Cert zu erneuern, scheiterte am geschlossenen Port 80.

Gruß Götz
 

gente

Benutzer
Mitglied seit
07. Mrz 2016
Beiträge
252
Punkte für Reaktionen
0
Punkte
22
...der thread frägt nicht nach der automatischen Erneuerung was ja auch wie gepostet bei geöffnetem Port funktioniert. Hier geht es um die Möglichkeit der manuellen Erneuerung des Zertifikats was ja optional wählbar ist.
LG Thomas
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Wo genau ist das Problem einfach ein neues Zertifikat zu beantragen? Frogman hat doch schön dargelegt dass es technisch eh kaum einen Unterschied macht. Der DSM macht das mit dem Ersetzen eines Zertifikates auch sehr einfach.
Abgesehen davon: Der Knopf heißt nicht verlängern, sondern "CSR". Dient also der Erstellung eines Certificate Signing Requests. Und den gibt es im LE-Universum nicht. Braucht es auch nicht.

MfG Matthieu
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat